v-Server mit dedizierter Firewall / Reverse Proxy und Mailserver

[Elmanet]

Hi.

Gibt es eigentlich Anbieter, die v-Server anbieten, welche nicht direkt am Internet hängen, sondern hinter einer dedizierten und unabhängig vom v-Server konfigurierbaren Firewall sitzen?
Einige Provider bieten zwar eine "Firewall", aber das ist oft nichts anderes als ein iptables Webinterface, was dann trotzdem auf dem eigenen vServer landet.

Zusätzlich sollte auch noch ein dedizierter Reverse Proxy vorhanden sein, welcher auch die SSL Verschlüsselung übernimmt.
Dann muss man sich nicht selbst um die Zertifikate und den https Kram kümmern.
Und man kann seine Node.js App schön auf einem hohen Port als User laufen lassen und hinter dem Proxyserver "Verstecken".
Dieses Vorgehen ist auch gar nicht mal so unüblich
Bevorzugt nginx.
Außerdem könnte man die statischen Inhalte und php Inhalte noch über einen anderen Server (shared Webspace) bereit stellen ohne dass der User es merkt, da alles über den Proxy zu ihm kommt.

Außerdem sollte der Provider einen Mailserver stellen, damit dieser ebenfalls nicht selbst eingerichtet werden muss.

Klar, den Kram kann man auch alles auf einem v-Server selber einrichten. Aber je mehr man "fertig" bekommt, desto weniger Arbeit hat man.

Leider ist die Node.js App auch noch nicht so ganz ausgegoren, so dass eine "Alles auf einer Maschine" Lösung durchaus Sicherheitsbedenken aufwirft.

 

[Lord Gurke]

Schau dir mal Leaseweb an - zumindest deren US-Variante hat "vRouter", die für dich das Firewalling und Loadbalancing übernehmen. Ob das auch mit Reverse-Proxy geht habe ich gerade nicht im Kopf, das ist m.W. nicht drin.

Aber selbst einen nginx als Reverse-Proxy konfigurieren und ein Zertifikat drauf kleben ist auch nicht der große Aufwand

 

[Elmanet]

Hi.

Danke für den Tipp mit Leaseweb.
Wenn es über die USA läuft, ist das für die Laufzeiten natürlich nicht so gut.

Reverse Proxy und Firewall/NAT Angebote finde ich ansonsten einiges offshore. Aber weniger in Deutschland und Umgebung.

Mir gehts aber nicht darum, irgend eine Schmuddelseite hinter einem Proxy zu verstecken, sondern ich will den Server, wo die node.js App drauf läuft, aus der Schusslinie nehmen und möglichst vom Rest trennen und so gut es geht abschotten durch eine Firewall.

Die Firewall muss so gestaltet sein, dass der Angreifer, selbst wenn er Root Rechte erlangen sollte, nicht wirklich irgendwo hin raus kommt.
Also am Besten nur die IP des Reverse-Proxys gewhitelistet.

Wenn es lokal über iptables läuft, könnte der Angreifer es ja einfach ändern. Deswegen eine dedizierte FW, dann ist da eine weitere Hürde.

Die Node.js App ist leider als Unsicher anzusehen, da sie mit heißer Nadel selbst programmiert ist.

 

[andreas0]

Gibt es eigentlich Anbieter, die v-Server anbieten, welche nicht direkt am Internet hängen, sondern hinter einer dedizierten und unabhängig vom v-Server konfigurierbaren Firewall sitzen?

Meines Wissens bietet auch der Provider IP-Projects als Zusatzpaket eine Hardware Firewall ab 25 Euro an, die normalerweise vor dedizierten Servern geschaltet wird. Theoretisch müßten aber diese auch vor einem vServer geschaltet werden können, da ja technisch gesehen nur die IP-Adresse hinter der Firewall geschaltet wird.